HOMEIPAについて新着情報プレス発表 「情報セキュリティ10大脅威 2021」を決定

本文を印刷する

IPAについて

プレス発表 「情報セキュリティ10大脅威 2021」を決定

~「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位に~

2021年1月27日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、情報セキュリティにおける脅威のうち、2020年に社会的影響が大きかったトピックを「10大脅威選考会」の投票によりトップ10を順位付けし、「情報セキュリティ10大脅威 2021」として公表しました。

 URL:https://www.ipa.go.jp/security/vuln/10threats2021.html

 IPAは情報セキュリティ対策の普及を目的として2006年から、前年に発生した情報セキュリティ事故や攻撃の状況等から脅威を選出し、上位10位を公表しています。本日公表した「情報セキュリティ10大脅威 2021」は、IPAが2020年に発生した脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約160名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「個人」の立場と「組織」の立場でのランキングはそれぞれ以下のとおりです。

昨年
順位
個人 順位 組織 昨年
順位
1位スマホ決済の不正利用1位ランサムウェアによる被害5位
2位フィッシングによる個人情報等の詐取2位標的型攻撃による機密情報の窃取1位
7位ネット上の誹謗・中傷・デマ3位テレワーク等のニューノーマルな働き方を狙った攻撃NEW
5位メールやSMS等を使った脅迫・詐欺の手口による金銭要求4位サプライチェーンの弱点を悪用した攻撃4位
3位クレジットカード情報の不正利用5位ビジネスメール詐欺による金銭被害3位
4位インターネットバンキングの不正利用6位内部不正による情報漏えい2位
10位インターネット上のサービスからの個人情報の窃取7位予期せぬIT基盤の障害に伴う業務停止6位
9位偽警告によるインターネット詐欺8位インターネット上のサービスへの不正ログイン16位
6位不正アプリによるスマートフォン利用者への被害9位不注意による情報漏えい等の被害7位
8位インターネット上のサービスへの不正ログイン10位脆弱性対策情報の公開に伴う悪用増加14位

 個人の順位では、昨年に引き続き、「スマホ決済の不正利用」が1位となりました。スマホ決済サービスを悪用して他人の銀行口座から残高をチャージ(他人の口座からの金銭窃取)する事案などが引き続き発生しています。スマホ決済サービスの利用者は、二要素認証を利用するなどの不正ログイン対策の実施や、被害を受けた際に早期に気付くことができるように、スマホ決済サービスの利用状況を確認することが重要です。また、スマホ決済サービスの利用者以外でも、スマホ決済サービスと連携可能な銀行口座を持つ人は被害に遭う場合もあるため、口座からの出金履歴を適宜確認するといった心構えが重要です。

 組織の順位では、「ランサムウェアによる被害」が1位となりました。昨年8月にIPAは、ランサムウェアを用いた新たな攻撃の手口として「人手によるランサムウェア攻撃」と「二重の脅迫」について注意喚起を行いました。従来はウイルスメールをばらまくなどの方法で広く無差別に攻撃が行われていましたが、新たな攻撃者は、明確に標的を企業・組織に定めています。標的型攻撃と同様の手法で企業・組織のネットワークに侵入したり、データを暗号化するだけでなく窃取して公開すると脅したりして、身代金を支払わざるを得ないような状況を作り出します。昨年は国内企業への攻撃も報道され、大きな話題となりました。新たなランサムウェア攻撃は、標的型攻撃と同等の技術が駆使されるため、例えば、ウイルス対策、不正アクセス対策、脆弱性対策など、基本的な対策を、確実かつ多層的に適用することが重要です。

 また、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位となりました。昨年は新型コロナウイルス感染症の世界的な蔓延に伴い、感染症対策の一環として政府機関からテレワークが推奨されました。テレワークへの移行に伴い、自宅などからVPN経由で社内システムにアクセスしたり、Web会議サービスを利用したりする機会が増えました。また、私物PCや自宅ネットワークの利用や、初めて使うソフトウェアの導入など、以前までは緊急用として使っていた仕組みを恒常的に使う必要性がでてきました。こうした業務環境の急激な変化を狙った攻撃が懸念されています。基本的な対策のほか、テレワークの規定や運用ルールの整備、セキュリティ教育の実施などが重要です。

 なお、「情報セキュリティ10大脅威 2021」にランクインした各脅威の手口、傾向や対策など詳しい解説は、2月下旬にIPAのウェブサイトで公開する予定です。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 土屋/黒谷

E-mail: vuln-inqアットマークipa.go.jp

報道関係からのお問い合わせ先

IPA 戦略企画部 広報戦略グループ 伊藤

Tel: 03-5978-7503 E-mail: pr-inqアットマークipa.go.jp